СЕРГІЙ Крутских, старший системний адміністратор компанії «ІНФІН», займається адмініструванням серверів, що працюють під управлінням Windows Server 2003, FreeBSD, openSuSe, OpenBSD

Віртуалізіруем підприємство
Щоб запрацювала бухгалтерія

Очікування і запевнення урядів різних країн в тому, що криза ось-ось закінчиться (або вже десь закінчився), як-то не вкладаються в реальну ситуацію.

Системний адміністратор, як собака: все розуміє, тільки сказати не може ...

З усного фольклору

Що робити, коли не знаєш, що робити?

А реальна ситуація така: все ще більше стали економити на всьому (навіть уряд «ненав'язливо» пропонує всім нам дружно перейти на енергозберігаючі лампочки), бюджети ІТ-відділів, і не тільки, зрізають, людей звільняють або відправляють у безстрокову неоплачувану відпустку пачками. Програми з оновлення та розширення комп'ютерного парку заморожені.

Найцікавіше і парадоксальне в цій ситуації - роботи для всіх стало більше, і це, на мій погляд, прямий наслідок змін в штатних розписах підприємств і організацій, але зараз не про це.

Як свідчить одна приказка: «Хороший начальник - це той начальник, про який згадують тільки в день зарплати». Так ось, на мою думку, про службу ІТ або про системного адміністратора (залежно від розміру компанії) згадують, коли щось перестає працювати або хочеться зменшити витрати за рахунок ІТ-відділу.

До сих пір існує думка, що «вони» - це щось середнє між завгоспом, комірником і електриком (прибиральницею, кухарем, охоронцем і т.п. - потрібне підкреслити). Чим займаються - незрозуміло, а значить, не дуже потрібні, і гроші давати їм не варто. Зламати цю позицію вдається не всім. Вирок часто виглядає приблизно так: «Ми ж в минулому році новий сервер купували, хіба не можна на ньому бухгалтерію« крутити », зараз грошей немає ...» І починаються довгі пояснення про те, що «новий сервер купували для контролера домену, так як старий дев'ятирічної давності, HP вже ну ніяк не справлявся - ні пам'яті, ні дискового простору », що« бухгалтерію з метою безпеки необхідно виділити в окрему підмережу, організувавши засобами комутатора VLAN »і що їм в цій мережі необхідний сервер баз даних. При цьому замовчуючи, що ще бажано DNS + DHCP. У підсумку, як завжди, все залишається як і раніше за винятком того що «бухгалтерія повинна працювати!».

І ось в такій непростій ситуації для адміністратора питання, що робити, стає головним: відмовитися від своїх кращих спонукань - відділення бухгалтерської підмережі від основної маси користувачів, тим самим захищаючи конфіденційну інформацію, або шукати інші рішення?

Нещодавно і мені довелося шукати рішення такого завдання, про що і хочу розповісти. У загальних рисах я вже змалював завдання, тепер уточню:

• Локальна мережа класу С на 60 робочих місць (в основній масі Windows XP) - 192.168.1.0/24, що складається з двох комутаторів, до яких підключені всі робочі місця користувачів і сервер. Ділення на підмережі немає.
• Необхідність трьох мережевих сховищ з різними правами доступу для підрозділів - мережеві диски W, V, P.
• Контролер домену AD + DHCP + DNS, сервер kdc.firma.ru.
• Корпоративний портал - portal.firma.ru.
• Необхідність обмеження мережевого доступу до комп'ютерів, що використовуються відділом бухгалтерії з боку інших відділів. Для чого передбачається поділ всієї мережі на дві VLAN2 (для бухгалтерії) і VLAN1 (для всіх інших). На рис. 1 представлена ​​схема мережі, яку передбачається побудувати. Відділ бухгалтерії зараз складається з восьми робочих місць і використовує підключення до бази даних, розташованої на контролері домену.
• У мережі відділу бухгалтерії необхідний сервер баз даних Adaptive Server Anywhere (ASA) 9-й або 10-й версії. Робоча група або домен з сервером buh.firma.ru для авторизації користувачів і бажано DNS + DHCP-сервери.

Малюнок 1. Схема мережі після модернізації

Наявне обладнання та ліцензії на програмне забезпечення:

• Сервер - TYAN Thunder i7520 / S5360 - 1 шт.
• Керований комутатор №1 - 3Com Switch 4200G - 1 шт.
• Керований комутатор №2 - 3Com Switch 430 - 1 шт.
• Ліцензія Windows Server Standard Release 2 - 1 шт.
• Windows Server CAL2003 - 60 шт.
• Windows XP Professional Service Pack 3 - 60 шт.
• SQL Anywhere Studio 9.0 - 10 ліцензій.

На сервері була розгорнута служба AD і всі необхідні сервіси, а також сконфігуровані і налаштовані мережеві диски.

Всі прекрасно, якби не бухгалтерія. Де взяти ще один сервер? Пригадую, що сервер підтримує апаратну віртуалізацію, і приймаю рішення віртуалізувати. Питання тільки, на якій платформі. Починаю перебирати: VMware Server, VirtualBox, Microsoft VirtualPC, Parallels Workstation, Xen, Hyper-V, Citrix XenServer, KVM.

VirtualBox, Microsoft VirtualPC, Parallels Workstation - відразу відкидаю як платформи, в основному «заточені» для робочих станцій, а VirtualBox 3.0 ще і сируватий - проблеми з виртуализацией мережі. VMware Server і Hyper-V відпадає через платності.

У чистому залишку - Xen, Citrix XenServer, KVM. З Xen і Citrix XenServer я вже давно мав справу, тому свій вибір зупинив на них, а ось KVM вирішив не розглядати в зв'язку з тим, що з нею поки не працював.

підготовка

На початку травня 2009 року компанією Citrix Systems був анонсований Citrix XenServer 5.5.0, який заснований на третій гілці Xen. Зараз він доступний для завантаження за адресою http://www.citrix.com/lang/English/lp/lp_1688615.asp . Також нам знадобиться ISO-образ з драйверами для Windows і Linux-гостьових систем Linux Guest Support і XenCenter, які теж доступні для завантаження з цієї сторінки.

Як контролер домена DHCP і DNS для мережі бухгалтерії (buh.firma.ru) будемо використовувати openSUSE 11.1 Скачиваем за адресою http://download.opensuse.org/distribution/11.1/iso/openSUSE-11.1-DVD-x86_64.iso . Мені ця ОС подобається за німецьке якість і чудовий інструмент налаштування і конфігурації Yast.

Для перенесення фізичного сервера в віртуальне середовище Citrix Systems рекомендує скористатися утилітою XenConvert 2.0.2, яку можна завантажити за адресою http://citrix.com/English/ss/downloads/results.asp?productID= 683148 . Але скористатися нею можна, тільки якщо у вашій мережі вже є встановлений Citrix XenServer.

Ще один мінус, який був виявлений - утиліта не в змозі скопіювати блоковані системою DAT-файли AD з працюючого сервера. І, як наслідок, ми можемо з її допомогою отримати непрацюючий контролер AD.

У зв'язку з цим було прийнято більш складне рішення - встановити вже в віртуальній машині сервер, а потім відновити резервну копію AD. Мінус рішення - довелося встановлювати всі необхідні програми заново і робити деякі налаштування. Плюс - система чиста від непотрібних тепер драйверів фізичних пристроїв.

Ще один варіант: використовувати Acronis True Image для створення vdi-образу, а потім цей образ імпортувати в Citrix XenServer (для такого рішення зручно використовувати Live CD - Yurkesha BartPE, який можна завантажити за адресою http://yurkesha.seclorum.ru/main_ru.html ).

Були ще кілька варіантів, але всі вони займають приблизно одне й те саме час і однакові за трудомісткістю. У конкретній ситуації для мене виявилося простіше так.

Всі роботи були заплановані на суботу, тому до закінчення роботи в п'ятницю був зроблений бекап всіх даних сервера на зовнішній жорсткий диск ємністю 1 Тб. Потім на цей жорсткий диск копіюємо в корінь ISO-образи Windows Server 2003 R2, openSUSE 11.1, Linux Guest Support і Yurkesha BartPE, вони нам знадобляться для установки віртуальних систем.

Налаштування комутаторів

Створюємо на обох комутаторах підмережа VLAN1. Додаємо в цю підмережа все порти першого і другого комутатора за винятком портів, до яких під'єднані комп'ютери бухгалтерського відділу.

Свічі безпосередньо з'єднуються між собою по порту 1 Гбіт (світч №2 - 49 порт і свитч №1 - 3 порт), тому для проброса тегованих трафіку їх необхідно додати в мережу VLAN2 і тегованих трафік на порту першого свіча, до якого підключений сервер, в моєму випадку порт №4. Для цього підключаємося до свічу №2:

# Telnet 192.168.1.242

Вводимо логін і пароль, переходимо в меню bridge, а потім в меню vlan:

---------------------- 3Com Switch (1) ----------------------
Select menu option: bridge
Menu options: -------- 3Com SuperStack 3 Switch 4300 --------
vlan - Administer VLANs
Type "q" to return to previous menu or? for help.
---------------------- 3Com Switch (1) ----------------------
Select menu option (bridge): vlan

Вибираємо створити VLAN (create), вводимо номер VLAN - 2 і ім'я:

Select menu option (bridge / vlan): create
Select VLAN ID (2-2048): 2
Enter VLAN name [VLAN 2]: Buh

Після цього за допомогою modify додаємо необхідні порти в підмережа VLAN2:

---------------------- 3Com Switch (1) ----------------------
Select menu option (bridge / vlan): modify
---------------------- 3Com Switch (1) ----------------------
Select menu option (bridge / vlan / modify): addPort
Select VLAN ID (1-2) [1]: 2
Select bridge port (1-49, all) [all]: 49

Після закінчення додавання портів в підмережа VLAN2 на другому свіч повинно вийти щось на зразок цього:

Select menu option (bridge / vlan): detail
Select VLAN ID (1-2) [1]: 2
VLAN ID: 2 Name: Buh
Unit Untagged Member Ports Tagged Member Ports
-------------------------------------------------- --------
1 42-48 49
Select menu option (bridge / vlan):

Тут порти з 42 по 48 - це і є підмережа бухгалтерії, вони підключені тільки в VLAN2. З цим комутатором все. На свіч №1 додаємо VLAN2. Порти, які необхідно включити в цю мережу (порт 3, що йде з свіча №2, і порт 4, який підключений до сервера віртуальних машин), переводимо в режим hibrid, а потім додаємо їх в VLAN2. Всі ці дії досить зручно робити через веб-управління. У результаті повинна вийти така картина, як показано на рис. 2, 3, 4.

Малюнок 2. Дві підмережі в комутаторі

Малюнок 3. Готуємо тегованих порти

Малюнок 4. Зелені порти тегованих тегом 2 (VLAN002)

Підключаємо мережеві інтерфейси сервера відповідно eth0 в будь-який порт, а eth1 в порт 3, який «дивиться» в VLAN2 (див. Рис. 4).

Поясню, чому не можна було під'єднати відразу в другій свитч, він просто банально знаходиться не в серверній, а на іншому поверсі, і до нього підключені не тільки машини бухгалтерії, а й основна маса інших робочих станцій.

Встановлюємо Citrix XenServer, при установці не забуваємо вказати «Встановити xen-tools» і задати для eth0 IP-адреса в діапазоні першої (існуючої) мережі VLAN1. Після закінчення установки і перезавантаження перевіряємо в консольному меню IP-адреса і інші параметри конфігурації сервера. Якщо все в порядку, то можемо переходити до свого робочого місця.

Всі інші операції будемо виробляти віддалено за допомогою XenCenter. Інсталюємо на робочому комп'ютері адміністратора XenCenter і підключаємося до сервера за вказаною при установці IP-адресою (див. Рис. 5).

Малюнок 5. Підключення до Citrix XenServer

Підключаємо зовнішній диск до машини адміністратора і расшарівать для доступу на читання весь диск під ім'ям iso або як кому подобається. Викликаємо вкладку New Storage в XenCenter, створюємо репозиторій типу ISO library - Windows File Sharing (CIFS) і тиснемо Next (див. Рис. 6).

Малюнок 6. Додавання ISO-сховища

На наступній вкладці вказуємо IP-адреса машини адміністратора, назву директорії, ім'я та пароль користувача для підключення і тиснемо Finish (див. Рис. 7).

Малюнок 7. установки для перегляду машині адміністратора

Тепер в центрі управління повинен з'явитися локальний ISO-репозиторій, що містить дистрибутиви (див. Рис. 8), використовуючи який будемо створювати віртуальні машини.

Малюнок 8. Вид XenCeter з підключеним ISO-репозиторієм

Створюємо віртуальну машину, вибравши шаблон Windows 2003-32, підключивши ISO-образ дистрибутива і змінивши розмір локального диска на свій розсуд. Я порахував, що для моєї системи для диска «C» цілком вистачить 30 Гб. Решта диски для робочих груп додамо і налаштуємо пізніше.

Потім перемикається на вкладку Console віртуальної машини і виконуємо установку системи. Після закінчення установки вибираємо із списку в якості DVD Drive образ xs-tools.iso і встановлюємо драйвера системи для поліпшеної підтримки віртуальної машини.

Перевантажуємося і додаємо ролі dhcp і dns, що не налаштовуючи, потім виконуємо відновлення AD. Операція відновлення або створення контролера домену з резервної копії докладно описана на сайті microsoft.com, а також на багатьох сайтах в Інтернеті. Тому не буду детально зупинятися на цьому питанні. Перевантажуємо сервер, перевіряємо роботу служб, потім вимикаємо.

Віртуальний комутатор в Citrix XenServer дозволяє створювати віртуальні мережі VLAN. За допомогою XenCenter робити це одне задоволення.

Заходимо на вкладку меню Network. Відзначаємо тип External Network, вказуємо ім'я мережі - Buh, вибираємо фізичний інтерфейс (NIC), вказуючи на ту мережеву карту (в нашому випадку eth1), яка дивиться в тегованих порт, і призначаємо їй VLAN, рівний 2 (див. Рис. 9) .

Малюнок 9. Створення тегованих мережевого інтерфейсу

От і все! Тепер у нас є віртуальний мережевий адаптер, який бачить тільки мережу VLAN2. Його і використовуємо при створенні віртуальної машини для бухгалтерії.

У стандартних шаблонах XenCenter немає openSUSE 11.1 - вибираємо SUSE Linux Enterprise Server 11 x64 або створюємо конфігурацію самі, як кому подобається, виняток становить лише розмір віртуального диска, нам знадобиться не менше 30 Гб (20 Гб під бази даних і бекапи і 10 Гб під систему , за замовчуванням - всього 8 Гб).

Установка openSUSE 11.1 описана багато разів і не представляє ніякої складності, тому не будемо на ній докладно зупинятися, за винятком декількох моментів.

При стандартному автоматичному розбитті дискового простору утиліта установки запропонує створити окремі розділи для кореня файлової системи, папки home і диска підкачки swap.

Я, виходячи з власного досвіду, вважаю за краще створювати розмітку для openSUSE 11.1 на основі LVM приблизно з такими параметрами: 1-2 Гб - під swap, 30? 70 Мб - для boot, 8-10 Гб - для /, решта розподіляю між / srv і / var. Я не претендую на те, що це кращий варіант, просто мені так зручніше, у вас може бути все за вашим бажанням.

Важлива перевага при використанні LVM - можливість в будь-який момент додати ще один фізичний том в будь-яку групу томів, а також вільно змінювати розміри розділів. Причому всі операції можна проводити «на гарячу», не зупиняючи роботи сервера. Такий варіант розмітки дуже зручний для віртуальної машини - коли виникне необхідність, завжди можна збільшити розмір дискового простору будь-якого розділу.

При виборі встановлюваного програмного забезпечення обов'язково відзначаємо для установки:

• файловий сервер;
• сервер DHCP;
• сервер DNS.

Встановлювати чи ні графіку - це вирішувати вам, але моя думка, що з Yast-му швидше і зручніше працювати за допомогою миші, хоча всі дії можна виконувати за допомогою функціональних клавіш, <TAB> і <Shift>. Для серверів можна обмежитися мінімальним набором «графіки» XFCE.

Також на час налаштування відразу при установці раджу відключити фаєрвол.

Після закінчення установки і перезавантаження виконуємо установку xs-tools.iso, підключивши в DVD xen-tools. Для цього перевіряємо існування пристрою командою:

fdisk -l

потім монтуємо знайденого пристрою та запускаємо скрипт установки install.sh (див. рис. 10).

Малюнок 10. Установка xen-tools на гостьову машину

Якщо у вашій версії скрипт завершиться з помилкою, то просто встановіть відповідний rpm-пакет:

rpm -ivh xe-guest-utilities-5.5.0-458.x86_64.rpm

Після установки обов'язково потрібне перезавантаження системи.

Ім'я сервера встановлюємо buh, домен firma.ru. В налаштуваннях мережевої карти присвоюємо статичний IP-адресу 192.168.2.1 і переходимо до налаштувань DNS. Створюємо за допомогою Yast пряму firma.ru і зворотний 2.168.192.in-addr.arpa зони. Додаємо NS- і A-записи, які вказують на сервер 192.168.2.1 з ім'ям buh. Не забуваємо вказати або заново створити TSIG Key для подальшого динамічного оновлення за допомогою DHCP. Зберігаємо налаштування.

Заходимо в налаштування DHCP, задаємо діапазон роздають адрес і обов'язково вказуємо синхронізувати дані з DNS-сервером. При виборі цієї опції Yast запропонує автоматично або в режимі майстра створити (модифікувати) DNS-зону - сміливо погоджуйтеся.

Вибираємо розширену конфігурацію, потім необхідну зону і в ній управління динамічним DNS (Configured Declarations -> Subnet -> Edit -> Dynamic DNS), включаємо динамічне оновлення, вказуємо TSIG Key для зон і їх назва, тиснемо Save.

Перезапускаємо сервери. Все, зв'язка DHCP + DNS налаштована. Перед подальшої налаштуванням бажано перевірити їх роботу, включивши будь-який комп'ютер з VLAN2, і переконатися, що IP-адреса і ім'я комп'ютера з'являться в DNS і будуть ні перетворювати.

Переходимо в Yast на вкладку Network Services і праворуч вибираємо закладку Samba Server. На питання про тип вибираємо контролер домену і заповнюємо необхідні поля, тут же можна включити Wins для підтримки старих систем. Запам'ятовуємо пароль суперкористувача root на Samba - з його допомогою будемо додавати комп'ютери в робочу групу, і зберігаємо налаштування (див. Рис. 11).

Малюнок 11. Створення робочої групи з допомогою Yast

У стандартній конфігурації Samba профілі користувачів Windows зберігаються на сервері, нам це не потрібно, тому відразу правимо файл /etc/samba/smb.conf.

рядок:

logon home = \\% L \% U \ .9xprofile

міняємо на:

logon home = ''

рядок:

logon path = ...

коментуємо.

В рядку:

logon scrip = start.bat

вказуємо ім'я файлу, який буде запускатися при старті системи. Цей файл повинен розташовуватися в каталозі: / var / lib / samba / netlogon. У мене він просто монтує загальний для всіх користувачів каталог і містить:

net use W: \\ buh \ distrib

Для здійснення бажаного необхідно створити папку / HOME / distrib. Виставити на неї права:

chmod 755 / home / distrib

і змінити групу власників на неї:

chown -R root: users / home / distrib

У файлі /etc/samba/smb.conf цей каталог описуємо як загальний для читання і доступний всім групам і користувачам, за що відповідає директива public:

# Описуємо кулі
[Distrib]
comment = all users share
path = / home / distrib
public = yes
writable = yes
valid users = firma.ru \ users
create mask = 0744

У такій конфігурації мається на увазі, що обмеження прав записи на файлову систему не дадуть простим користувачам змінювати або записувати файли, а адміністратор домену завжди зможе змінити будь-який файл або каталог.

Зараз Samba має величезну кількість параметрів настройки, таких як виконання скриптів завантаження, динамічні зміни в реєстрі, установка і публікація принтерів, підтримка розширених прав на файлову систему і т.д. Якщо хочете бути в курсі останніх змін, варто заново перечитати документацію на неї.

Додавання користувачів відбувається в два етапи. Спочатку додаємо через Yast - «Управління користувачами» всіх користувачів мережі «Бухгалтерія», а потім, запускаючи з командного рядка скрипт:

smbpasswd <ім'я користувача>

який створює пари логін-пароль у файлі / etc / samba / smbpasswd, в ньому також можна прописати додаткові аліаси імен користувачів. Комп'ютери в домен додаємо як зазвичай, за винятком використання логіна адміністратора, замість нього використовуємо root, як показано на рис. 12. З консолі XenCenter запускаємо перший сервер kdc.firma.ru. На цьому основна настройка закінчена.

Малюнок 12. Введення машини в робочу групу

Залишилося створити і додати додаткові диски для груп користувачів, а також призначити їм права. Скопіювати дані з переносного жорсткого диска. Встановити на сервер бухгалтерії SQL Anywhere Studio для Linux і запустити на ньому базу даних бухгалтерії. Підключити принтер до сервера бухгалтерії, і можна працювати.

***

Модифікувати і розвивати цю конфігурацію дуже просто. Можна легко створювати повні резервні копії встановлених серверів. У будь-який момент робити знімки стану систем. Створити і скопіювати на зовнішній носій шаблони працюють систем для швидкої установки ОС, на яких можна відрепетирувати певні критичні дії, такі як установка сервіс-паків і т.п. Все обмежено лише вашою фантазією, а простір для експериментів відкривається величезний. Удачі, буду радий питань і відгуками на форумі журналу за адресою www.samag.ru/forum .

1. Installation Guide - http://www.citrix.com/lang/English/lp/lp_1688622.asp#top .
2. Virtual Machine Guide - http://www.citrix.com/lang/English/lp/lp_1688622.asp#top .
3. Reference Manual - http://www.citrix.com/lang/English/lp/lp_1688622.asp#top .
4. openSUSE 11.1 Reference Guide - http://www.novell.com/documentation/opensuse111/pdfdoc/opensuse111_reference/opensuse111_reference.pdf .
5. Чекмарьов О.М.., Вишневський А.В.., Кокорева О.І.. Microsoft Windows Server 2003. СПб. : БХВ-Петербург, 2006.
6. Samba-3 by Example - http://us1.samba.org/samba/docs/man/Samba-Guide .